- •Содержание
- •1. Назначение и краткая характеристика комплекса
- •2. Особенности защитных функций комплекса
- •2.1. Подсистема управления доступом
- •2.2. Подсистема регистрации и учета
- •Внимание!
- •2.3. Подсистема обеспечения целостности
- •2.4. Открытый интерфейс для подключения скзи
- •3. Порядок работы на защищенной пэвм (рс)
- •3.1. Выполнение контрольных процедур
- •Процедура идентификации
- •Процедура аутентификации
- •Проверка целостности аппаратуры пэвм (рс), системных областей, системных файлов, программ и данных
- •Смена пароля
- •Работа с хранителем экрана
- •3.3. Завершение работы и выход из системы
- •4. Сообщения программых средств комплекса и порядок действий пользователя по ним.
- •Обязанности должностных лиц по обеспечению безопасности информации при выполнении работ на пэвм (рс) общие требования
- •Обязанности пользователя
2. Особенности защитных функций комплекса
Защита информации с использованием средств комплекса основана на обработке событий, возникающих при обращении прикладных программ или системного ПО к ресурсам ПЭВМ (РС). Средства комплекса перехватывают соответствующие программные и/или аппаратные прерывания, анализируют запрос и в зависимости от соответствия полномочий субъекта доступа (или его прикладной задачи), либо разрешают операционной системе обработку этих событий, либо запрещают (передают операционной системе код ошибки).
Комплекс "Аккорд-NT/2000" v. 2.0 состоит из собственно средств защиты ПЭВМ (РС) от НСД и средств разграничения доступа к ее ресурсам, которые условно можно представить в виде четырех взаимодействующих между собой подсистем (Рис. 1.) защиты информации.
Рис. 1.
2.1. Подсистема управления доступом
Предназначена для защиты ПЭВМ (РС) от посторонних4 пользователей, управления доступом к объектам доступа и организации совместного их использования зарегистрированными пользователями в соответствии с установленными правилами разграничения доступа.
Защита от посторонних пользователей обеспечивается процедурами идентификации (сравнение предъявленного ТМ-идентификатора с перечнем зарегистрированных на ПЭВМ (РС) и аутентификации (подтверждение подлинности) с защитой от раскрытия пароля. Для идентификации (аутентификации) пользователей в комплексе используются персональные идентификаторы DS-199х ("Touch memory"-"Память касания"), отличающиеся высокой надежностью, уникальностью, наличием быстродействующей памяти, удобством пользования, приемлемыми массо-габаритными характеристиками и низкой ценой.
В комплексе "Аккорд-NT/2000" v. 2.0 реализованы принципы дискреционного и мандатного управления доступом. При использовании дискреционного управления зарегистрированному пользователю устанавливаются права доступа по принципу регистрации "белого списка" разрешенных к запуску программ (задач) и данных, а так же "черного списка" запрещенных ресурсов, которые прописываются в ПРД. При использовании мандатного управления пользователю (субъекту) устанавливается уровень доступа, а объекту (данным или задаче) присваивается метка доступа. При запросе пользователя на доступ к объекту, в зависимости от уровня полномочий пользователя, разрешается или запрещается запрошенный тип доступа. Возможно использование одновременно двух механизмов доступа.
2.2. Подсистема регистрации и учета
Предназначена для регистрации в системном журнале событий, обрабатываемых комплексом СЗИ НСД "Аккорд-АМДЗ" и подсистемой разграничения доступа "Аккорд-NT/2000" v.2.0. При регистрации событий в системном журнале регистрируются:
дата и время события;
пользователь, осуществляющий регистрируемое действие;
действия пользователя (сведения о входе/выходе пользователя в/из системы, запуске программ, фактах НСД и других событиях).
Внимание!
Доступ к системному журналу возможен только администратору СБИ (супервизору).
2.3. Подсистема обеспечения целостности
Предназначена для исключения несанкционированных модификаций (как случайных, так и злоумышленных) конфигурации технических средств ПЭВМ (РС), программной среды, в том числе программных средств комплекса, обрабатываемой информации, обеспечивая при этом защиту ПЭВМ (РС) от внедрения программных закладок и вирусов.
Контроль целостности в комплексе реализуется:
проверкой целостности конфигурации технических средств ПЭВМ (РС) перед каждым сеансом работы пользователя;
проверкой целостности назначенных для контроля системных файлов, пользовательских программ и данных;
исключением возможности использования ПЭВМ (РС) без контроллера комплекса;
механизмом создания замкнутой программной среды, запрещающей запуск привнесенных программ.